При обновлении до Apache 2.4.25 или до OpenSSL 1.1.0.e вы можете столкнуться проблемой, когда веб-сервер Apache, использующий SSL (HTTPS), вдруг перестал запускаться. В логах ошибок веб-сервера может быть:
[Tue Apr 25 06:42:01.508153 2017] [ssl:emerg] [pid 866] AH01903: Failed to configure CA certificate chain! [Tue Apr 25 06:42:01.508226 2017] [ssl:emerg] [pid 866] AH02312: Fatal error initialising mod_ssl, exiting.
Если проблема возникла внезапно (раньше работало, а после обновления Apache или OpenSSL веб-сервер перестал запускаться), то, скорее всего, дело в неправильной настройке одного или нескольких виртуальных хостов.
Начиная с Apache >= 2.4.8 при настройке виртуального хоста (в конфигурационном файле Apache) не должна использоваться опция SSLCertificateChainFile. Тот промежуточный сертификат (aka leaf certificate или end-entity certificate), который вы указывали ранее с этой опцией, должен быть дописан после сертификата сервера, который указывается с опцией SSLCertificateFile. Если промежуточных сертификатов несколько, то все они должны указываться в файле SSLCertificateFile.
Т.е. если раньше типичная настройка HTTPS виртуального хоста выглядела так:
SSLCertificateChainFile "/etc/ssl/certs/ca-bundle.crt" SSLCertificateFile "/etc/ssl/certs/server.crt" SSLCertificateKeyFile "/etc/ssl/private/server.key"
То теперь она должна выглядеть так:
SSLCertificateFile "/etc/ssl/certs/fullchain.crt" SSLCertificateKeyFile "/etc/ssl/private/server.key"
Здесь fullchain.crt это server.crt + ca-bundle.crt
На момент написания также имеется проблема с dovecot как-то связанная с SSL, решение которой, к сожалению, ещё не найдено.
Близкие статьи
- Особенности использования валидных SSL-сертификатов (93.1%)
- Ошибка phpMyAdmin «Error: Undefined constant "SODIUM_CRYPTO_SECRETBOX_KEYBYTES"» (РЕШЕНО) (64.4%)
- Решение проблемы Unable to load dynamic library 'mcrypt.so' (tried: /usr/lib/php/modules/mcrypt.so (62.9%)
- Решение проблемы «ERROR] Could not open mysql.plugin table. Some plugins may be not loaded» при запуске MariaDB в Arch Linux (59.1%)
- Привязка доменного имени к серверу на VDS (57.5%)
- Pacman: работа с пакетами в BlackArch (перевод справки и мануала) (RANDOM - 50%)